Forum PHP.pl

Ostatnio spłodziłem skrypt uploadu plików na serwer i chciałem do niego dodać nową funkcjonalność, mianowicie, możliwość uploadowania plików z linku (odnośnika). Nie wiem, jak się do tego zabrać, mam kilka pytań:
1. Są jakieś gotowe funkcje?
2. Jak się zabezpieczyć przed wstrzyknięciem jakiegoś cuda?
3. Na ile mogę wykorzystać swój skrypt uploadu z dysku (jakie różnice)?

Nie chcę gotowca, na forum i w Googlach znalazłem co nieco, ale za mało, żeby zakumać temat.

skorzystaj np z http://php.net/manual/en/function.file-get-contents.php

zabezpieczenie? -np. sprawdzaj rozszerzenie i typ mime

Nie chcę pobrać pliku do obróbki, chcę tylko uploadować. Zrobiłem tak (nie bić za mocno):

[PHP] pobierz, plaintext 
$upload_dir = "img/".$lvl1."/".$lvl2."/";
$zdalny = $_POST['url'];
$uploaded = $upload_dir . basename($url);
 
if (!is_dir("$upload_dir")) {
		die ("<font class='pl'>Błąd! Katalog docelowy $upload_dir nie istnieje!</font><br />");
}
$uploaded = preg_replace('/[!?@#$%^&*()+=\';><,!:"\/\[\]\{\}]+/', '', $uploaded); // znaki na spacje
$we1 = array('ą','ć','ę','ł','ń','ó','ś','ź','ż','Ą','Ć','Ę','Ł','Ń','Ó','Ś','Ź','Ż',' ');
$wy1 = array('a','c','e','l','n','o','s','z','z','A','C','E','L','N','O','S','Z','Z','_');
$uploaded = str_replace($we1, $wy1, $uploaded);
$uploaded = strtolower($uploaded); // zmień na małe litery
$uploaded = preg_replace('/[\-]+/', '-', $uploaded);// zredukuj liczbę - do jednego obok siebie
$uploaded = preg_replace('/[\_]+/', '_', $uploaded);// zredukuj liczbę _ do jednego obok siebie
$uploaded = trim($uploaded, '-');// usuń możliwe - na początku i końcu
$uploaded = trim($uploaded, '_');// usuń możliwe _ na początku i końcu
$uploaded = wordwrap($uploaded, 50, " ", 1); // pocięcie długich wpisów
$uploaded = preg_replace("/(img)([0-9]{2})([0-9]{2})(.*?)(gif|jpg|jpeg|png|rar|zip|pdf|psd)/","$1/$2/$3/$4$5",$uploaded); // dokłada /
$sp = explode(".",$uploaded);
$c_sp = count($sp) - 1;
if ( $sp[$c_sp] == "gif"
		or $sp[$c_sp] == "jpg"
		or $sp[$c_sp] == "jpeg"
		or $sp[$c_sp] == "png"
		or $sp[$c_sp] == "rar"
		or $sp[$c_sp] == "zip"
		or $sp[$c_sp] == "pdf"
		or $sp[$c_sp] == "psd" ) { // jakie rozszeżenia
 
				if (file_exists($uploaded)) { // czy plik już istnieje
						echo "<font class='pl'>Błąd! Plik już istnieje!</font><br />";
				} else {
						if ($uploaded > 2*1024*1024) { // ograniczenie wielkości
								echo "<font class='pl'>Błąd! Plik numer jest za duży!</font><br />";
						} else {
								$zdalny_wielkosc = strlen(file_get_contents($zdalny));
								$lokalny_wielkosc = (file_exists($uploaded))?filesize($uploaded):-1;
								if ($zdalny_wielkosc<>$lokalny_wielkosc) {
										copy($zdalny, $uploaded);
										echo "<font class='key'>Operacja wysyłania pliku przebiegła pomyślnie.</font><br />";
								} // kontrola pobrania całości
						} // jeżeli powodzenie
				} // jeżeli plik już istnieje
} else {
		echo "<font class='pl'>Błąd! Niepoprawny format pliku!</font><br />";
} // rozszerzenia
[PHP] pobierz, plaintext 

Zamiast tak sypać rozszerzeniami zrób tablicę dozwolonych i potem tylko
if( in_array( $rozszerzenie, $tablica_dozwolonych ) )
Zamiast tak jechać ze str_replace i pregami prościej posłużyć się filter_var i sanitize'ować nazwę. Zamiast count($sp)-1 czemu nie używasz iteratorów tablicowych?Ogólnie jak sam widzisz, można z kodu jeszcze wyciskać wiele
Poza tym masz tylko sprawdzenie rozszerzenia? A co z MIME? Bo dam Ci plik do którego na końcu dokleję za prawidłowym rozszerzeniem .psd i uzna mi to za plik photoshopa, choć to może być exe

By być w miarę pewnym co tojest, musiałbyś jednak otwierać plik i po typie rozszerzenia sprawdzać poprawność nagłówka pliku danego typu Wiadomo, że oszust musiałby nagłówek pliku wtedy zmienić by to zabezpieczenie obejść, a wtedy niemal na bank jego kod będzie miał problem z działaniem i będzie odczytywany jako uszkodzony.

Naczytałem się (na tym forum), że i MIME nie daje żadnej pewności...

Nie daje, jeśli sprawdzasz je w tablicy $_FILES.

Za to daje NAJWIĘKSZĄ pewność, jeśli sprawdzisz je po stronie serwera - albo przez rozszerzenie w PHP (choć nie zawsze jest dostępne), albo - co polecam - poprzez odpalenie komendy file -bi /home/sadfsdf/sdfsdf/sdfsdf/plik.

Nic z tego nie wiem, tak daleko moja wiedza jeszcze nie sięga...